Durante la serie de blogs de esta semana, nos sentamos con dos de nuestros expertos del NIST del Grupo de Visualización y Usabilidad del NIST, Shanée Dawkins y Jody Jacobs, quienes discutieron la importancia de reconocer y denunciar el phishing. Este blog concluye nuestra serie de blogs del Mes de la Concientización sobre la Ciberseguridad 2023… pero, por supuesto, planeamos continuar compartiendo, colaborando, aprendiendo y haciendo correr la voz durante todo el año. 1. El tema del Mes de la Concientización sobre la Ciberseguridad de esta semana es «reconocer y denunciar el phishing». ¿Cómo se relaciona su área de trabajo/especialidad en el NIST con este comportamiento? Trabajamos en el Laboratorio de Tecnología de la Información, pero nuestra investigación se centra en los usuarios de tecnología. El propósito de nuestro grupo es defender lo humano en la tecnología de la información y también lo aplicamos a nuestros esfuerzos de phishing. Mientras que otros programas de investigación se centran en la tecnología necesaria para filtrar los correos electrónicos de phishing, nosotros nos centramos en las personas como última línea de defensa si un correo electrónico de phishing escapa de los filtros (y en su capacidad o incapacidad para reconocer el phishing). Investigamos las circunstancias que hacen que las personas sean más o menos susceptibles a hacer clic en un correo electrónico de phishing, ya sean las características del correo electrónico en sí o el contexto del usuario que lo recibe. En última instancia, nuestro objetivo es equipar a las organizaciones con las métricas que necesitan para capacitar eficazmente a sus empleados para que reconozcan y denuncien correos electrónicos de phishing. Muchas organizaciones utilizan programas integrados de capacitación sobre concientización sobre el phishing para evaluar sus riesgos de seguridad relacionados con el phishing. En estos programas, las organizaciones envían correos electrónicos de phishing simulados a sus empleados para medir la velocidad a la que los empleados hacen clic o denuncian el phishing. Sin embargo, nuestros hallazgos muestran que las tasas de clics (ya sea que las personas hagan clic o no en enlaces y archivos adjuntos) no brindan una imagen completa para comprender el comportamiento del personal. Creamos una métrica, la NIST Phish Scale, para proporcionar contexto al usuario sobre los comportamientos de clic. Phish Scale da como resultado una métrica de dificultad de detección de phishing humano que permite a las organizaciones adaptar mejor sus programas de capacitación para la concientización sobre el phishing para que el personal reconozca y denuncie el phishing de manera más efectiva. 2. ¿Cómo ayuda reconocer y denunciar el phishing a las personas y/o empresas en lo que respecta a la ciberseguridad? por que es tan importante? Las amenazas de phishing afectan a organizaciones de todos los tamaños y sectores. Aquí hay algunas estadísticas: según una encuesta reciente realizada por Proofpoint (fuente a continuación), el 34% de los usuarios hicieron algo en 2022 que los puso a ellos o a su organización en riesgo, como hacer clic en un enlace malicioso. En el cuarto trimestre de 2022, el Grupo de Trabajo Anti-Phishing (APWG) observó un total de 1.350.037 ataques de phishing (fuente a continuación). Esto fue ligeramente superior al tercer trimestre, cuando APWG registró un total de 1.270.883 ataques de phishing, lo que fue un nuevo récord en ese momento y el peor trimestre para phishing que APWG haya observado. Business Email Compromise (BEC) sigue representando el 75 % de los ataques y representa 2.700 millones de dólares en pérdidas, según el FBI (fuente a continuación). Los correos electrónicos de phishing están diseñados para engañar a los usuarios y extraer información confidencial personal o relacionada con el trabajo del destinatario del correo electrónico. (por ejemplo, información de cuentas bancarias o nombres de usuario y contraseñas). Las organizaciones utilizan ejercicios de capacitación sobre phishing para ayudar a los empleados a defenderse contra este tipo de amenazas de phishing en un entorno seguro y controlado. La expectativa es que los empleados sean más capaces de reconocer y reportar mensajes de phishing en la naturaleza, reduciendo el riesgo potencial de seguridad y privacidad tanto para el individuo como para su organización. 3. ¿Qué está haciendo actualmente el NIST en esta área (o planificando para el futuro)? Nuestro equipo de ciberseguridad centrado en las personas continúa investigando la susceptibilidad humana al phishing y la escala de phishing del NIST. Estamos realizando estudios sobre las características de los correos electrónicos que obligan a alguien a hacer clic o informar un correo electrónico de phishing, además de las características personales del destinatario de un correo electrónico que afectan las decisiones sobre hacer clic y no hacer clic. Nuestros objetivos son comprender mejor cómo los humanos evalúan y actúan ante los correos electrónicos de phishing y equipar a las organizaciones con las herramientas que necesitan para combatir el phishing basándose en este conocimiento. Para obtener más información sobre nuestra investigación, puede consultar nuestras publicaciones en el sitio web de CSRC y ver nuestras presentaciones recientes en el Foro de Verano 2023 de Educadores Federales de Seguridad de la Información (FISSEA) y la conferencia RSA 2023. 4. ¿Por qué es importante la ciberseguridad para usted personalmente? Más que la ciberseguridad, las personas son importantes para nosotros personalmente; es imperativo que tomemos medidas para protegerlas y equiparlas con el conocimiento, las habilidades y las herramientas de ciberseguridad para protegerse a sí mismas. Ambos tenemos hijos que utilizan cada vez más la tecnología en la escuela y socialmente. También tenemos parientes de edad avanzada que se están volviendo cada vez más vulnerables en el mundo digital (por ejemplo, phishing, IoT y riesgos de privacidad). Tratamos de inculcarles que, si bien Internet es un recurso increíble para socializar e investigar, es de vital importancia practicar una buena higiene cibernética. Los niños deben asegurarse de no compartir sus nombres de usuario y contraseñas de sus distintas cuentas escolares. Los adultos mayores necesitan orientación sobre qué correos electrónicos son legítimos y cuáles requieren un mayor escrutinio. Hemos tenido familiares que casi caen en intentos de phishing, como correos electrónicos solicitando tarjetas de regalo o información de cuentas bancarias. En última instancia, el trabajo que hacemos está motivado por nuestro deseo de que las personas estén protegidas de las amenazas a la ciberseguridad. Para las amenazas de phishing, las personas pueden ser un objetivo a través de nuestro correo electrónico del trabajo, correo electrónico personal, mensajes de texto e incluso llamadas telefónicas. Queremos ayudar a las personas a reconocer las amenazas de phishing para que permanezcan alerta con sus tecnologías. 5. ¿Qué es lo que más te gusta (o tu mejor recuerdo) de trabajar en el NIST? Jody: Mi mejor recuerdo de trabajar en el NIST fue ver los fuegos artificiales del Día de la Independencia del condado de Montgomery junto a la puerta principal del NIST hace muchos años. Antes de que los fuegos artificiales se trasladaran al Parque Bohrer, los fuegos artificiales del Día de la Independencia del Condado de Montgomery se lanzaron desde el recinto ferial del Condado de Montgomery. Mi marido y yo íbamos al campus al anochecer, los mosquitos nos comían vivos y nos reuníamos con unos 50 miembros del NIST para ver los fuegos artificiales. Ojalá se siguieran lanzando fuegos artificiales desde el recinto ferial. Shanée: ¡Me encanta trabajar con la gente del NIST! Todos venimos de diferentes orígenes y tenemos diferentes experiencias, pero todos nos unimos para ayudar a las personas y amamos el trabajo que hacemos. Fuentes: